通用数据保护条例(GDPR)政策
1. 政策声明
我们的业务每天都会接收、使用和存储关于我们的客户、供应商、面试候选人和同事的个人信息。重要的是,这些信息要合法地和适当地处理,符合[2018年数据保护法]和普遍数据保护条例(统称为“数据保护要求”)的要求。
我们认真履行数据保护职责,因为我们尊重客户对我们适当和负责任使用个人信息的信任。
2. 关于本政策
本政策以及其中提及的任何其他文件阐明了我们将处理我们收集或处理的任何个人数据的基础。
本政策并不构成任何雇员劳动合同的一部分,并可随时修改。
Alex Smit是我们的数据保护官(DPO),负责确保公司遵守数据保护要求和本政策。关于本政策的操作或任何未遵守本政策的疑问,首先应向DPO进行查询,或根据公司投诉政策(请参阅员工手册)进行报告。
3. 什么是个人数据?
个人数据是指与可以直接或间接从该数据(或从我们掌握的该数据和其他信息)识别的生活个人相关的数据(无论是电子存储还是纸质存储)。
处理是涉及使用个人数据的任何活动。它包括获取、记录或保留数据,组织、更改、检索、使用、披露、删除或销毁数据。处理还包括向第三方转移个人数据。
敏感个人数据包括关于个人种族或民族出身、政治观点、宗教或哲学信仰、工会会员资格、遗传学、生物识别信息、身体或精神健康状况、性取向或性生活的个人数据。它还可能包括关于犯罪行为或定罪的数据。敏感个人数据只能在严格条件下处理,包括需获得个人同意。
4. 数据保护原则
任何处理个人数据的人,必须确保数据:
a. 公正、合法和透明地处理。
b. 仅为特定、明确和合法目的收集,并且任何进一步处理都是为兼容的目的完成。
c. 充分、相关和仅限于所需用于预期目的。
d. 准确的,并在必要时保持最新。
e. 保持以允许识别的形式,仅在为预期目的所需的时间内。
f. 按照个人的权利进行处理,并以确保个人数据适当安全的方式进行处理,包括防止未经授权或非法处理以及防止意外丢失、销毁或损坏,使用适当的技术或组织措施。
g. 不得转移给位于没有充分保护的国家的个人或组织,而没有事先通知个人。
5. 公平和合法处理
数据保护要求并非旨在阻止个人数据的处理,而是确保其公平进行,且不会不利地影响个人权利。
根据数据保护要求,我们只会在个人数据为合法目的所必需时进行处理。合法目的包括(但不限于):个人是否已同意,处理是否为与个人签订合同所必要,遵守法律义务,或符合业务合法利益。在处理敏感个人数据时,必须满足额外条件。
6. 有限目的处理
在我们的业务过程中,我们可能会收集和处理个人数据。这可能包括我们直接从数据主体那里收到的数据(例如,通过填写表格或通过信函、电话、电子邮件或其他方式与我们通信)以及我们从其他来源收到的数据(包括位置数据、业务合作伙伴、技术、付款和交付服务的分包商、信用参考机构和其他来源)。
我们将仅根据附件1中规定的具体目的或数据保护要求明确允许的任何其他目的处理个人数据。我们将在首次收集数据时或尽快在此后通知数据主体这些目的。
7. 通知个人
如果我们直接从个人那里收集个人数据,我们将通知他们有关:
a. 我们拟处理该个人数据的目的或目的,以及处理的法律依据。
b. 如果我们依赖于业务的合法利益来处理个人数据,追求的合法利益。
c. 我们将与之共享或披露该个人数据的第三方类型,如果有的话。
d. 个人如何限制我们对其个人数据的使用和披露。
e. 有关他们的信息将被存储的期限,或用于确定该期限的标准的信息。
f. 他们请求作为控制者从我们处获取、更正或删除个人数据或限制处理的权利。
g. 他们有权反对处理和数据可携性的权利。
h. 他们有权随时撤回他们的同意(如果已经给予同意),而不影响在同意被撤回之前的处理的合法性。
i. 向信息专员办公室提出投诉的权利。
j. 有关个人数据的其他来源,以及它是否来自公开获取的来源。
k. 提供个人数据是法定或合同义务,或进入合同所必需的要求,以及个人是否有义务提供个人数据以及未能提供数据的后果。
如果我们从其他来源收到有关个人的个人数据,我们将尽快向他们提供这些信息(除了告知他们涉及的个人数据类别),但最迟在1个月内。
我们还将通知我们处理其个人数据的数据主体,我们是关于该数据的数据控制者,我们的联系信息以及DPO是谁。
8. 充分、相关和非过度处理
我们只会收集为通知数据主体的特定目的所需的个人数据。
9. 准确的数据
我们将确保我们持有的个人数据是准确的并保持最新。我们将在收集个人数据时以及之后定期间隔检查任何个人数据的准确性。我们将采取一切合理措施销毁或修改不准确或过时的数据。
10. 及时处理
我们不会保存个人数据超过收集目的或目的所必需的时间。我们将采取一切合理措施销毁或从系统中抹除所有不再需要的数据。
11. 符合数据主体权利的处理
我们将处理所有个人数据,符合数据主体的权利,特别是他们有权:
a. 确认个人数据是否正在被处理。
b. 请求访问数据控制者持有的有关他们的任何数据。
c. 请求更正、删除或限制处理他们的个人数据。
d. 向监督机构投诉。
e. 反对包括直接营销在内的处理。
12. 数据安全
我们将采取适当的安全措施来防止个人数据的非法或未经授权处理,以及防止个人数据在传输、存储或其他处理过程中意外或非法的销毁、损坏、丢失、更改、未经授权披露或访问。如果发生非法数据转移,将由适当的人员进行调查,并适用公司的纪律程序。
我们将建立程序和技术,从确定处理手段和数据收集点到销毁点,维护所有个人数据的安全性。个人数据仅在数据处理者同意遵守这些程序和政策,或自行采取适当措施时才会转移给数据处理者。
我们将通过保护个人数据的保密性、完整性和可用性来维护数据安全,定义如下:
a. 保密性意味着只有被授权使用数据的人才能访问它。
b. 完整性意味着个人数据应当准确且适合其处理的目的。
c. 可用性意味着被授权的用户应当能够在需要时访问数据进行授权目的。因此,个人数据应存储在我们公司的中央计算机系统上,而不是个人PC上。
安全程序包括:
a. 进入控制。发现任何陌生人在进入受控区域应立即报告。
b. 安全可锁的书桌和橱柜。如若存放任何机密信息,书桌和橱柜应保持上锁。(个人信息始终被视为机密。)
c. 数据最小化。
d. 处置方法。纸质文件应被粉碎。不再需要时,数字存储设备应被物理销毁。
e. 设备。员工必须确保个人显示器不向过路人展示机密信息,并在离开未看管时从个人电脑注销。
13. 主体访问请求
个人必须正式请求我们保存的有关他们的信息。收到请求的员工应立即将其转发给DPO或人力资源部门的一名成员。
在接听电话查询时,只有在满足以下条件时,我们才会披露我们系统中保存的个人数据:
a. 我们将核实来电者的身份,以确保信息仅提供给有权使用的人。
b. 如果我们不确定来电者的身份并且无法核实其身份,我们将建议来电者以书面形式提出请求。
如果通过电子方式提出请求,将尽可能以电子方式提供数据。
在困难情况下,我们的员工将向他们的直线经理寻求帮助。
14. 本政策的变更
我们保留随时更改本政策的权利。在适当的情况下,我们将通过网站上的cookie横幅通知更改。